Del via

Overholdelse av regler og standarder og personvern

  • Artikkel

Microsoft går arbeider for å oppnå de høyeste nivåene av klarering, gjennomsiktighet, samsvar med standarder og forskriftsmessige samsvar. Microsofts omfattende utvalg av skyprodukter og -tjenester er alle bygd fra grunnen for å håndtere de strengeste sikkerhets- og personvernkravene til kundene.

For å bidra til at organisasjonen din samsvarer med lokale krav, regionale krav og bransjespesifikke krav som styrer innsamlingen og bruken av enkeltpersoners data, tilbyr Microsoft det mest omfattende settet med samsvarstilbud (inkludert sertifiseringer og attester) av alle skytjenesteleverandør. Det finnes også verktøy som administratorer kan bruke for å støtte organisasjonens arbeid. I denne delen av dokumentet beskriver vi mer detaljert ressursene som er tilgjengelige for å hjelpe deg med å fastslå og oppfylle kravene i din egen organisasjon.

Klareringssenter

Microsoft Klareringssenter er en sentralisert ressurs for å få informasjon om Microsofts produktportefølje. Dette omfatter informasjon om sikkerhet, personvern, overholdelse av regler og standarder og gjennomsiktighet. Selv om dette innholdet kan inneholde noen delsett av informasjonen for Power Apps, er det viktig at du alltid refererer til Microsoft Klareringssenter for å den mest oppdaterte og gjeldende informasjonen.

Som en hurtigreferanse kan du finne informasjon om klareringssenteret for Microsoft Power Platform her: https://www.microsoft.com/trust-center/product-overview. Dette omfatter informasjon om Power Apps, Microsoft Power Automate og Power BI.

Dataplassering

Microsoft drifter flere datasentre over hele verden, som støtter Microsoft Power Platform-appene. Når organisasjonen oppretter en leier, opprettes det en standard geografisk (geografisk område) plassering. Når du oppretter miljøer for å støtte apper og inneholde Microsoft Dataverse-data, kan miljøer i tillegg være rettet mot et bestemt geografisk område. En oppdatert liste over geografiske områder for Microsoft Power Platform finner du på https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

For å støtte kontinuitet drift kan det hende Microsoft replikerer data til andre områder innenfor et geografisk område, men dataene flyttes ikke utenfor det geografiske området for å støtte datarobusthet. Dette støtter muligheten til å mislykkes over eller gjenopprette raskere hvis det er alvorlig strømbrudd. Det finnes noen rimelige unntak for å holde data i det spesifikke geografiske området, som vises på nettstedet ovenfor, som primært er fokusert på juridiske krav og kundestøtte. Det er også viktig å være oppmerksom på at du eller brukerne kan utføre handlinger som eksponerer data utenfor det geografiske området. Andre tjenester kan også konfigureres til å få tilgang til dataene og eksponere dem utenfor det geografiske området. Autoriserte brukere kan som standard få tilgang til plattformen, appene og dataene fra hvor som helst i verden der det er tilkobling.

Databeskyttelse

Data er sikre som de er i transitt mellom brukerenheter og Microsoft-datasentrene. Tilkoblinger som er opprettet mellom kunder og Microsoft-datadatasentre, er krypterte, og alle offentlige endepunkter blir sikret ved hjelp av bransjestandarden TLS. TLS oppretter effektivt en sikker nettleser til server-tilkobling for å bidra til å sikre datakonfidensialitet og integritet mellom datamaskiner og datasentre. API-tilgang fra kundeendepunkt til serveren er også beskyttet på samme måte. For øyeblikket kreves TLS 1.2 (eller nyere) for å få tilgang til serverendepunktene.

Data som overføres via den lokale datagatewayen, krypteres også. Data som brukere laster opp, sendes vanligvis til Azure Blob-lagring, og alle metadata og artefakter for selve systemet, lagres i en Azure SQL-database og Azure Table Storage.

Alle miljøer for Dataverse-databasen bruker gjennomsiktig datakryptering (TDE) for SQL Server til å utføre sanntidskryptering av data når de skrives til disk, også kalt inaktiv kryptering.

Som standard lagrer og håndterer Microsoft databasens krypteringsnøkler for dine miljøer slik at du slipper å tenke på det. Funksjonen Administrer nøkler i Power Platform-administrasjonssenteret gir administratorer muligheten til å administrere databasens krypteringsnøkler som er knyttet til miljøer for Dynamics 365 (online). Du kan lese mer om hvordan du administrerer dine egne nøkler her, men vanligvis anbefales det at Microsoft administrerer nøklene med mindre du har et spesifikt forretningsbehov for å administrere dette selv.

Ressurser for å administrere samsvar med GDPR

EUs personvernforordning (GDPR) gir personer betydelige rettigheter når det gjelder opplysningene deres. Se Sammendrag av EUs personvernforordning i Microsoft Learn hvis du vil ha en oversikt over GDPR, inkludert terminologi, en handlingsplan og sjekklister for klargjøring, som hjelper deg å oppfylle forpliktelsene i GDPR når du bruker Microsoft-produkter og -tjenester.

Du kan finne ut mer om GDPR og hvordan Microsoft hjelper deg å støtte den, og kundene som berøres av den.

  • Microsoft Klareringssenter har generell informasjon, anbefalte fremgangsmåter for forskriftssamsvar og dokumentasjon som er nyttig for GDPR-ansvarlighet, for eksempel vurderinger av databeskyttelsesvirkning, forespørsler om den registrerte og varsling om datasikkerhetsbrudd.
  • Service Trust Portal inneholder informasjon om hvordan Microsoft-tjenester bidrar til å støtte forskriftssamsvar med GDPR.

Som administrator er en viktig aktivitet som støtter personvern, knyttet til DSR-forespørsler (Data Subject Rights). Dette er formelle forespørsler fra et dataemne til en datakontrollør (sannsynligvis din organisasjon) om å håndtere deres personlige data i dine systemer. Datasubjekter har rett til å hente kopier, be om rettelser, begrense behandling av dataene, slette dataene og motta kopier i et elektronisk format, slik at de kan flyttes til en annen datakontroller.

Koblingene nedenfor peker til detaljert informasjon for å hjelpe deg med å svare på DSR-forespørsler avhengig av hvilke funksjoner organisasjonen bruker.

Område for plattformfunksjoner Kobling til detaljerte svartrinn
Power Apps Svare på DSR-forespørsler (Data Subject Rights) for å eksportere Power Apps-kundedata
Dataverse Svare på DSR-forespørsler (Data Subject Rights) for Dataverse-kundedata
Power Automate Svare på dataemneforespørsler for Power Automate
Microsoft-kontoer (MSA-er) Svare på forespørsler om dataemnerettigheter
Kundeengasjementsapper Dynamics 365-dataemneforespørsler for personvern

Microsoft 365 Sikkerhets- og kompatibilitetssenter

Bruk Microsoft Purview Samsvarsbehandling til å administrere overholdelse på tvers av Microsoft-skytjenester, på ett sted.

Hendelser i logg for sporing av endringer for Power Automate

Administratorer kan søke etter og vise Power Automate-hendelser i samsvarssenteret for søk i logg for sporing av endringer. Hendelser inkluderer opprettet flyt, redigert flyt, slettet flyt, redigerte tillatelser, slettede tillatelser, startet en betalt prøveversjon, fornyet en betalt prøveversjon. Ved hjelp av portalen kan du velge hva du vil søke etter og en tidsperiode.

  1. Logg deg på samsvarsportalen Microsoft Purview.

  2. Velg Spor endringer under Løsninger.

  3. Velg Aktiviteter velger du Power Automate-aktiviteter du vil spore endringer for.

    Velg Power Automate-aktivitetene du vil spore endringer for.

  4. Velg Søk.

  5. Når søket er fullført, velger du det for å vise listen over relaterte aktiviteter.

    Liste over Power Automate-aktiviteter.

  6. Velg en rad i listen for å se aktivitetsdetaljene.

    Liste over Power Automate-aktiviteter.

Sporing av data beholdes i 90 dager. Du kan utføre CDSV-eksporter av dataene, slik at du kan flytte dem til Excel eller PowerBI for videre analyse. Du finner en fullstendig gjennomgang av informasjon om sporing av endringer her: https://flow.microsoft.com/blog/security-and-compliance-center/